مشاركة عبر

إعادة توجيه معلومات تنبيه OT المحلية

  • مقالة

تعزز تنبيهات Microsoft Defender for IoT أمان الشبكة وعملياتها بتفاصيل في الوقت الحقيقي حول الأحداث التي تم تسجيلها في شبكتك. يتم تشغيل تنبيهات OT عندما تكتشف مستشعرات شبكة OT التغييرات أو النشاط المشبوه في حركة مرور الشبكة التي تحتاج إلى انتباهك.

توضح هذه المقالة كيفية تكوين مستشعر OT أو وحدة تحكم الإدارة المحلية لإعادة توجيه التنبيهات إلى خدمات الشركاء وخوادم syslog وعناوين البريد الإلكتروني والمزيد. تتضمن معلومات التنبيه التي تمت إعادة توجيهها تفاصيل مثل:

  • تاريخ ووقت التنبيه
  • المحرك الذي اكتشف الحدث
  • عنوان التنبيه والرسالة الوصفية
  • خطورة التنبيه
  • اسم المصدر والوجهة وعنوان IP
  • نسبة استخدام الشبكة المشتبه بها التي تم اكتشافها
  • أدوات الاستشعار غير المتصلة
  • فشل النسخ الاحتياطي عن بعد

إشعار

يتم تشغيل قواعد تنبيه إعادة التوجيه فقط على التنبيهات التي يتم تشغيلها بعد إنشاء قاعدة إعادة التوجيه. لا تتأثر التنبيهات الموجودة بالفعل في النظام من قبل إنشاء قاعدة إعادة التوجيه بالقاعدة.

المتطلبات الأساسية

إنشاء قواعد إعادة التوجيه على مستشعر OT

  1. سجل الدخول إلى مستشعر OT وحدد إعادة التوجيه في القائمة> اليسرى + إنشاء قاعدة جديدة.

  2. في جزء إضافة قاعدة إعادة توجيه، أدخل اسم قاعدة ذي معنى، ثم حدد شروط القاعدة وإجراءاتها كما يلي:

    الاسم ‏‏الوصف
    الحد الأدنى لمستوى التنبيه حدد الحد الأدنى لمستوى خطورة التنبيه الذي تريد إعادة توجيهه.

    على سبيل المثال، إذا حددت Minor، تتم إعادة توجيه التنبيهات الثانوية وأي تنبيه أعلى من مستوى الخطورة هذا.
    أي بروتوكول تم اكتشافه قم بالتبديل إلى إعادة توجيه التنبيهات من كل حركة مرور البروتوكول أو التبديل إلى إيقاف وحدد البروتوكولات المحددة التي تريد تضمينها.
    نسبة استخدام الشبكة التي تم اكتشافها بواسطة أي محرك قم بالتبديل إلى إعادة توجيه التنبيهات من جميع محركات التحليلات، أو قم بإيقاف التشغيل وحدد المحركات المحددة التي تريد تضمينها.
    إجراءات حدد نوع الخادم الذي تريد إعادة توجيه التنبيهات إليه، ثم حدد أي معلومات مطلوبة أخرى لنوع الخادم هذا.

    لإضافة خوادم متعددة إلى نفس القاعدة، حدد + إضافة خادم وأضف المزيد من التفاصيل.

    لمزيد من المعلومات، راجع تكوين إجراءات قاعدة إعادة توجيه التنبيه.

  3. عند الانتهاء من تكوين القاعدة، حدد حفظ. القاعدة مدرجة في صفحة إعادة التوجيه .

  4. اختبر القاعدة التي قمت بإنشائها:

    1. حدد قائمة الخيارات (...) لقاعدة> إرسال رسالة اختبار.
    2. انتقل إلى الخدمة الهدف للتحقق من تلقي المعلومات المرسلة بواسطة المستشعر.

تحرير قواعد إعادة التوجيه أو حذفها على مستشعر OT

لتحرير قاعدة موجودة أو حذفها:

  1. سجل الدخول إلى مستشعر OT وحدد إعادة التوجيه في القائمة اليسرى.

  2. حدد قائمة الخيارات (...) للقاعدة الخاصة بك، ثم قم بأحد الإجراءات التالية:

    • حدد تحرير الحقول وتحديثها حسب الحاجة. عندما تنتهي، حدد حفظ.

    • حدد حذف>نعم لتأكيد الحذف.

إنشاء قواعد إعادة التوجيه على وحدة تحكم إدارة محلية

لإنشاء قاعدة إعادة توجيه في وحدة تحكم الإدارة :

  1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد إعادة التوجيه في القائمة اليسرى.

  2. + حدد الزر في أعلى اليمين لإنشاء قاعدة جديدة.

  3. في نافذة إنشاء قاعدة إعادة توجيه، أدخل اسما ذا معنى للقاعدة، ثم حدد شروط القاعدة وإجراءاتها كما يلي:

    الاسم ‏‏الوصف
    الحد الأدنى لمستوى التنبيه في أعلى يمين مربع الحوار، استخدم القائمة المنسدلة لتحديد الحد الأدنى لمستوى خطورة التنبيه الذي تريد إعادة توجيهه.

    على سبيل المثال، إذا حددت Minor، تتم إعادة توجيه التنبيهات الثانوية وأي تنبيه أعلى من مستوى الخطورة هذا.
    البروتوكولات حدد الكل لإعادة توجيه التنبيهات من كل حركة مرور البروتوكول، أو حدد خاص لإضافة بروتوكولات معينة فقط.
    Engines حدد الكل لإعادة توجيه التنبيهات التي يتم تشغيلها بواسطة جميع محركات تحليلات المستشعر، أو حدد محدد لإضافة محركات محددة فقط.
    System Notifications حدد خيار Report System Notifications لإعلامك بأجهزة الاستشعار غير المتصلة أو حالات فشل النسخ الاحتياطي عن بعد.
    إعلامات التنبيه حدد الخيار Report Alert Notifications لإعلامك بتاريخ التنبيه ووقته والعنوان والخطورة واسم المصدر والوجهة وعنوان IP وحركة المرور المشبوهة والمحرك الذي اكتشف الحدث.
    إجراءات حدد إضافة لإضافة إجراء لتطبيق وإدخال أي قيم معلمات مطلوبة للإجراء المحدد. كرر ذلك حسب الحاجة لإضافة إجراءات متعددة.

    لمزيد من المعلومات، راجع تكوين إجراءات قاعدة إعادة توجيه التنبيه.

  4. عند الانتهاء من تكوين القاعدة، حدد SAVE. القاعدة مدرجة في صفحة إعادة التوجيه .

  5. اختبر القاعدة التي قمت بإنشائها:

    1. في صف القاعدة، حدد زر اختبار قاعدة إعادة التوجيه هذه. يتم عرض إعلام نجاح إذا تم إرسال الرسالة بنجاح.
    2. انتقل إلى نظام الشريك الخاص بك للتحقق من تلقي المعلومات المرسلة من قبل المستشعر.

تحرير قواعد إعادة التوجيه أو حذفها على وحدة تحكم إدارة محلية

لتحرير قاعدة موجودة أو حذفها:

  1. سجل الدخول إلى وحدة التحكم بالإدارة المحلية وحدد إعادة التوجيه في القائمة اليسرى.

  2. ابحث عن صف القاعدة ثم حدد إما الزر تحرير أو حذف.

تكوين إجراءات قاعدة إعادة توجيه التنبيه

يصف هذا القسم كيفية تكوين الإعدادات لإجراءات قاعدة إعادة التوجيه المدعومة، إما على مستشعر OT أو وحدة تحكم الإدارة المحلية.

إجراء عنوان البريد الإلكتروني

تكوين إجراء بريد إلكتروني لإعادة توجيه بيانات التنبيه إلى عنوان البريد الإلكتروني الذي تم تكوينه.

في منطقة الإجراءات ، أدخل التفاصيل التالية:

الاسم ‏‏الوصف
الخادم حدد البريد الإلكتروني.
بريد إلكتروني أدخل عنوان البريد الإلكتروني الذي تريد إعادة توجيه التنبيهات إليه. تدعم كل قاعدة عنوان بريد إلكتروني واحد.
المنطقة الزمنية حدد المنطقة الزمنية التي تريد استخدامها للكشف عن التنبيه في النظام الهدف.

إجراءات خادم Syslog

تكوين إجراء خادم Syslog لإعادة توجيه بيانات التنبيه إلى النوع المحدد من خادم Syslog.

في منطقة الإجراءات ، أدخل التفاصيل التالية:

الاسم ‏‏الوصف
الخادم حدد أحد الأنواع التالية من تنسيقات syslog:

- خادم SYSLOG (تنسيق CEF)
- خادم SYSLOG (تنسيق LEEF)
- خادم SYSLOG (كائن)
- خادم SYSLOG (رسالة نصية)
منفذ المضيف / أدخل اسم مضيف ومنفذ خادم syslog
المنطقة الزمنية حدد المنطقة الزمنية التي تريد استخدامها للكشف عن التنبيه في النظام الهدف.
البروتوكول معتمد للرسائل النصية فقط. حدد TCP أو UDP.
تمكين التشفير معتمد لتنسيق CEF فقط. قم بالتبديل لتكوين ملف شهادة تشفير TLS وملف المفتاح وعبارة المرور.

تصف الأقسام التالية بناء جملة إخراج syslog لكل تنسيق.

حقول إخراج الرسالة النصية من Syslog

الاسم ‏‏الوصف
الأولوية المستخدم. Alert
رسالة اسم النظام الأساسي ل CyberX: اسم المستشعر.
تنبيه Microsoft Defender for IoT: عنوان التنبيه.
النوع: نوع التنبيه. يمكن أن يكون انتهاك البروتوكول، أو انتهاك النهج، أو البرامج الضارة، أو الشذوذ، أو تشغيلي.
الشدة: شدة التنبيه. يمكن أن تكون تحذير، أو ثانوي، أو رئيسي، أو حرج.
المصدر: اسم الجهاز المصدر.
عنوان IP للمصدر: عنوان IP للجهاز المصدر.
البروتوكول (اختياري): بروتوكول المصدر المكتشف.
العنوان (اختياري): عنوان بروتوكول المصدر.
الوجهة: اسم الجهاز الوجهة.
عنوان IP للوجهة: عنوان IP للجهاز الوجهة.
البروتوكول (اختياري): بروتوكول الوجهة المكتشف.
العنوان (اختياري): عنوان بروتوكول الوجهة.
الرسالة: رسالة التنبيه.
مجموعة التنبيه: مجموعة التنبيه المقترنة بالتنبيه.
UUID (اختياري): UUID التنبيه.

حقول إخراج كائن Syslog

الاسم ‏‏الوصف
الأولوية User.Alert
التاريخ والوقت التاريخ والوقت الذي تلقى فيه جهاز خادم syslog المعلومات.
اسم المضيف عنوان IP للمستشعر
رسالة اسم المستشعر: اسم الجهاز.
وقت التنبيه: الوقت الذي تم فيه الكشف عن التنبيه: يمكن أن يختلف عن وقت جهاز خادم syslog، ويعتمد على تكوين المنطقة الزمنية لقاعدة إعادة التوجيه.
عنوان التنبيه: عنوان التنبيه.
رسالة التنبيه: رسالة التنبيه.
خطورة التنبيه: خطورة التنبيه: تحذير أو ثانوي أو رئيسي أو حرج.
نوع التنبيه: انتهاك البروتوكول، أو انتهاك النهج، أو البرامج الضارة، أو الشذوذ، أو تشغيلي.
البروتوكول: بروتوكول التنبيه.
Source_MAC: عنوان IP أو الاسم أو المورد أو نظام التشغيل للجهاز المصدر.
Destination_MAC: عنوان IP أو الاسم أو المورد أو نظام التشغيل للوجهة. إذا كانت البيانات مفقودة، تكون القيمة N /A.
alert_group: مجموعة التنبيه المقترنة بالتنبيه.

حقول إخراج Syslog CEF

الاسم ‏‏الوصف
الأولوية User.Alert
التاريخ والوقت التاريخ والوقت الذي أرسل فيه المستشعر المعلومات بتنسيق التوقيت العالمي المتفق عليه
اسم المضيف اسم مضيف المستشعر
رسالة CEF:0
Microsoft Defender ل IoT/CyberX
اسم المستشعر
إصدار المستشعر
تنبيه Microsoft Defender for IoT
عنوان التنبيه
مؤشر عدد صحيح على الخطورة. 1=تحذير أو 4=ثانوي أو 8=رئيسي أو 10=حرج.
msg= رسالة التنبيه.
protocol= بروتوكول التنبيه.
severity= تحذير أو ثانوي أو رئيسي أو حرج.
type= انتهاك البروتوكول أو انتهاك النهج أو البرامج الضارة أو الحالات الشاذة أو التشغيلية.
UUID= UUID للتنبيه (اختياري)
start= الوقت الذي تم فيه الكشف عن التنبيه.
قد يختلف عن وقت جهاز خادم syslog، ويعتمد على تكوين المنطقة الزمنية لقاعدة إعادة التوجيه.
src_ip= عنوان IP للجهاز المصدر. (اختياري)
src_mac= عنوان MAC للجهاز المصدر. (اختياري)
dst_ip= عنوان IP للجهاز الوجهة. (اختياري)
dst_mac= عنوان MAC للجهاز الوجهة. (اختياري)
cat= مجموعة التنبيه المقترنة بالتنبيه.

حقول إخراج Syslog LEEF

الاسم ‏‏الوصف
الأولوية User.Alert
التاريخ والوقت التاريخ والوقت الذي أرسل فيه المستشعر المعلومات بتنسيق التوقيت العالمي المتفق عليه
اسم المضيف عنوان IP للمستشعر
رسالة اسم المستشعر: اسم جهاز Microsoft Defender for IoT.
LEEF:1.0
Microsoft Defender for IoT
الاستشعار
إصدار المستشعر
تنبيه Microsoft Defender for IoT
العنوان: عنوان التنبيه.
الرسالة: رسالة التنبيه.
البروتوكول: بروتوكول التنبيه.
الشدة: تحذير، أو ثانوي، أو رئيسي، أو حرج.
النوع: نوع التنبيه: انتهاك البروتوكول، أو انتهاك النهج، أو البرامج الضارة، أو الشذوذ، أو تشغيلي.
البدء: وقت التنبيه. قد يكون مختلفا عن وقت جهاز خادم syslog، ويعتمد على تكوين المنطقة الزمنية.
src_ip: عنوان IP للجهاز المصدر.
dst_ip: عنوان IP للجهاز الوجهة.
cat: مجموعة التنبيه المقترنة التنبيه.

إجراء خادم الإخطار على الويب

مدعوم من وحدة التحكم بالإدارة المحلية فقط

تكوين إجراء Webhook لتكوين تكامل يشترك في أحداث تنبيه Defender for IoT. على سبيل المثال، أرسل بيانات التنبيه إلى خادم webhook لتحديث نظام SIEM خارجي أو نظام SOAR أو نظام إدارة الحوادث.

عند تكوين التنبيهات لإعادة توجيهها إلى خادم إخطار على الويب وتشغيل حدث تنبيه، ترسل وحدة التحكم بالإدارة المحلية حمولة HTTP POST إلى عنوان URL للإخطار على الويب الذي تم تكوينه.

في منطقة الإجراءات ، أدخل التفاصيل التالية:

الاسم ‏‏الوصف
الخادم حدد Webhook.
عنوان URL أدخل عنوان URL لخادم webhook.
مفتاح / قيمة أدخل أزواج المفاتيح/القيم لتخصيص رأس HTTP حسب الحاجة. تتضمن الأحرف المعتمدة ما يلي:
- يمكن أن تحتوي المفاتيح على أحرف وأرقام والشرطات والشرطات السفلية فقط.
- يمكن أن تحتوي القيم على مسافة بادئة و/أو زائدة واحدة فقط.

إخطار على الويب الموسع

مدعوم من وحدة التحكم بالإدارة المحلية فقط

تكوين إجراء Webhook الموسع لإرسال البيانات الإضافية التالية إلى خادم webhook الخاص بك:

  • sensorID
  • sensorName
  • zoneID
  • zoneName
  • siteID
  • siteName
  • sourceDeviceAddress
  • destinationDeviceAddress
  • remediationSteps
  • handled
  • معلومات إضافية

في منطقة الإجراءات ، أدخل التفاصيل التالية:

الاسم ‏‏الوصف
الخادم حدد Webhook extended.
عنوان URL أدخل عنوان URL لبيانات نقطة النهاية.
مفتاح / قيمة أدخل أزواج المفاتيح/القيم لتخصيص رأس HTTP حسب الحاجة. تتضمن الأحرف المعتمدة ما يلي:
- يمكن أن تحتوي المفاتيح على أحرف وأرقام والشرطات والشرطات السفلية فقط.
- يمكن أن تحتوي القيم على مسافة بادئة و/أو زائدة واحدة فقط.

إجراء NetWitness

تكوين إجراء NetWitness لإرسال معلومات التنبيه إلى خادم NetWitness.

في منطقة الإجراءات ، أدخل التفاصيل التالية:

الاسم ‏‏الوصف
الخادم حدد NetWitness.
اسم المضيف / المنفذ أدخل اسم مضيف ومنفذ خادم NetWitness.
المنطقة الزمنية أدخل المنطقة الزمنية التي تريد استخدامها في الطابع الزمني للكشف عن التنبيه في SIEM.

تكوين قواعد إعادة التوجيه لتكاملات الشركاء

قد تقوم بدمج Defender for IoT مع خدمة شريك لإرسال معلومات التنبيه أو مخزون الجهاز إلى نظام أمان أو إدارة جهاز آخر، أو للاتصال بجدران الحماية من جانب الشريك.

يمكن أن تساعد عمليات تكامل الشركاء على سد حلول الأمان المنعزلة سابقا، وتعزيز رؤية الجهاز، وتسريع الاستجابة على مستوى النظام للتخفيف من المخاطر بسرعة أكبر.

في مثل هذه الحالات، استخدم الإجراءات المدعومة لإدخال بيانات الاعتماد والمعلومات الأخرى المطلوبة للتواصل مع خدمات الشركاء المتكاملة.

لمزيد من المعلومات، راجع:

تكوين مجموعات التنبيه في خدمات الشركاء

عند تكوين قواعد إعادة التوجيه لإرسال بيانات التنبيه إلى خوادم Syslog وQRadar وArcSight، يتم تطبيق مجموعات التنبيه تلقائيا وتكون متوفرة في خوادم الشركاء هذه.

تساعد مجموعات التنبيهات فرق SOC باستخدام حلول الشركاء هذه لإدارة التنبيهات استنادا إلى سياسات أمان المؤسسة وأولويات الأعمال. على سبيل المثال، يتم تنظيم التنبيهات حول الاكتشافات الجديدة في مجموعة اكتشاف ، والتي تتضمن أي تنبيهات حول الأجهزة الجديدة والشبكات الظاهرية وحسابات المستخدمين وعناوين MAC والمزيد.

تظهر مجموعات التنبيه في خدمات الشركاء بالبادئات التالية:

البادئة خدمة الشركاء
cat QRadar، ArcSight، Syslog CEF، Syslog LEEF
Alert Group الرسائل النصية ل Syslog
alert_group كائنات Syslog

لاستخدام مجموعات التنبيه في التكامل الخاص بك، تأكد من تكوين خدمات الشريك لعرض اسم مجموعة التنبيه.

بشكل افتراضي، يتم تجميع التنبيهات على النحو التالي:

  • سلوك اتصال غير طبيعي
  • تنبيهات مخصصة
  • الوصول عن بُعد
  • سلوك اتصال HTTP غير طبيعي
  • اكتشاف
  • إعادة تشغيل الأوامر وإيقافها
  • المصادقة
  • تغيير البرامج الثابتة
  • مسح ضوئي
  • سلوك الاتصال غير المصرح به
  • الأوامر غير القانونية
  • نسبة استخدام شبكة أداة الاستشعار
  • الحالات الشاذة للنطاق الترددي
  • الوصول للإنترنت
  • الشك في وجود برامج ضارة
  • تجاوز المخزن المؤقت
  • فشل العملية
  • الاشتباه في النشاط الضار
  • حالات فشل الأمر
  • المشكلات التشغيلية
  • تغييرات التكوين
  • البرمجة

لمزيد من المعلومات وإنشاء مجموعات تنبيهات مخصصة، اتصل بدعم Microsoft.

استكشاف أخطاء قواعد إعادة التوجيه وإصلاحها

إذا لم تعمل قواعد تنبيه إعادة التوجيه كما هو متوقع، فتحقق من التفاصيل التالية:

  • التحقق من صحة الشهادة. تدعم قواعد إعادة التوجيه ل Syslog CEF وMicrosoft Sentinel وQRadar التشفير والتحقق من صحة الشهادة.

    إذا تم تكوين مستشعرات OT أو وحدة تحكم الإدارة المحلية للتحقق من صحة الشهادات ولا يمكن التحقق من الشهادة، فلا تتم إعادة توجيه التنبيهات.

    في هذه الحالات، يكون جهاز الاستشعار أو وحدة التحكم بالإدارة المحلية هو عميل الجلسة ومبدئها. عادة ما يتم تلقي الشهادات من الخادم أو استخدام تشفير غير متماثل، حيث يتم توفير شهادة معينة لإعداد التكامل.

  • قواعد استثناء التنبيه. إذا كانت لديك قواعد استبعاد تم تكوينها على وحدة التحكم بالإدارة المحلية، فقد تتجاهل أدوات الاستشعار التنبيهات التي تحاول إعادة توجيهها. لمزيد من المعلومات، راجع إنشاء قواعد استثناء التنبيه على وحدة تحكم إدارة محلية.

الخطوات التالية

تنبيهات Microsoft Defender ل IoT